Informationsbank

UFS Explorer Softwareprodukte sind umfassende Lösungen für schnellen Datenzugriff und einfache Wiederherstellung von gelöschten Informationen.

Download software

So erstellen Sie benutzerdefinierte Suchregeln für die "rohe" Datenrettung

In meisten Fällen führt UFS Explorer gründliche Analyse der Dateisystemstrukturen durch und interpretiert diese Informationen, um die fehlenden Daten zu lokalisieren und wiederherzustellen. Unter bestimmten Umständen können wichtige Serviceaufzeichnungen jedoch stark beschädigt oder sogar überschrieben werden, z. B. beim Formatieren, Initialisieren oder anderen Manipulationen am Speicher.

Hinweis: Um mehr über Dateisysteme und ihre Struktur zu erfahren, wenden Sie sich bitte an die Grundlagen von Dateisystemen.

Dies macht es unmöglich, mit dem genannten Ansatz ein zufriedenstellendes Datenrettungsergebnis zu erzielen. Um dieses Problem zu lösen oder das erhaltene Ergebnis zu erweitern, kann IntelliRAW oder die Methode der „rohen Wiederherstellung“ aktiviert werden. Diese Technik umfasst die Suche nach vordefinierten Fragmenten des Dateiinhalts oder den sogenannten Dateisignaturen (auch „magische Zahlen“). Diese Binärsequenzen treten an einem bestimmten Versatz am Anfang und manchmal auch am Ende der Datei auf und können zur Identifizierung von Dateien eines jeweiligen Typs verwendet werden.

UFS Explorer enthält bereits eine breite Palette von IntelliRAW-Regeln mit Signaturen für die gängigsten Dateitypen wie Dokumente, Bilder, Multimedia, Archive usw. Wenn Sie jedoch mit seltenen oder proprietären Dateiformaten arbeiten, möchten Sie möglicherweise die verfügbare Liste um benutzerdefinierte Regeln, die in den UFS Explorer geladen und während des Wiederherstellungsprozesses verwendet werden können, erweitern.

Ein spezielles kostenloses Programm namens IntelliRAW Rules Editor bietet die Möglichkeit zur einfachen Definition benutzerdefinierter Dateitypen für IntelliRAW sowie zahlreiche Optionen für deren Konfiguration. Mit dieser Software können Sie:

  • Eine neue Datei mit einem benutzerdefinierten Dateityp erstellen, eine vorhandene Datei öffnen und sie mit neuen Dateitypen ergänzen oder sogar Regeln aus mehreren vorhandenen Dateien vereinen;
  • Eine Dateierweiterung, die den gefundenen Dateien des entsprechenden benutzerdefinierten Dateityps zugewiesen wird, angeben;
  • Einen Namen für den Dateityp, der auch als Ordnername in den Ergebnissen der "rohen Wiederherstellung" verwendet wird, angeben;
  • Eine Regel für den Start der Datei mit einer oder mehreren Signaturen in Form einer hexadezimalen Sequenz, einer ASCII- oder Unicode-Zeichenfolge angeben. Die Software kann eingestellt werden, um den gesamten Datenblock auf der Suche nach dem benötigten Muster zu scannen, ihn in einem Block in einem bestimmten Offset zu finden oder den Block in Unterblöcke einer bestimmten Größe zu unterteilen und das Muster an einer bestimmten Position zu suchen.
  • Eine Regel für das Ende der Datei angeben:
    • Durch eine Trailersignatur und eine bestimmte Anzahl von Bytes danach;
    • Durch die Größe der Datei, die als Feld bei einem bestimmten Versatz mit einer bestimmten Größe definiert wird. Der Wert kann mit der gewählten Ganzzahl multipliziert und um die angegebene Anzahl von Bytes erhöht werden.

Die Software unterstützt auch die folgenden speziellen Befehle:

?
Maskiert 4 Bits einer Hexadezimalzahl
Z. B. 0?11 kann 0011, 0111...0F11 bedeuten
*N*
Beliebiger Wert für N Bytes
Z. B. *12* bedeutet jede 12 Bytes
!N!
Nicht gleich auf Byte-Wert
Z. B. !0!, !FF! usw.
{b,…}
Zählt gültige Bytes auf
Z. B. {00,?1,1F}
's'
Umschließt eine ASCII-Zeichenfolge
Z. B. 'Muster'
"s"
Umschließt eine Unicode-Zeichenfolge
Z. B. "Muster"
‘ s ’
Umschließt einen UTF-8-Zeichenfolge
Z. B. ‘ Muster ’
+
Bei allen folgenden Zeichenfolgen wird zwischen Groß- und Kleinschreibung unterschieden
Z. B. +"Muster"
-
Bei allen folgenden Zeichenfolgen wird die Groß- und Kleinschreibung nicht berücksichtigt
Z. B. -"muster"
[XXX/YYY]
Entspricht dem Hex-Wert von XXX mit der Maske JJJ
Z. B. [F80/FFC]
  • Die Umstände, unter denen die Übereinstimmung stattfinden wird, definieren:
    • Das Format der Daten (Binär, ASCII oder Unicode)
    • Der Analyseumfang, der mit dem übergeordneten Objekt zusammenfallen kann oder eine Teilmenge bestimmter Größe, die bei einem bestimmten Versatz oder durch eine bestimmte hexadezimale Signatur definiert wird, sein kann.
    • Trefferbedingungen: Die definierte Regel kann so festgelegt werden, dass sie für alle Instanzen gilt, wenn keine der anderen Regeln übereinstimmt, wenn alle definierten Signaturen gefunden sind oder wenn eine von ihnen trifft.

Gehen Sie wie folgt vor, um Ihren eigenen benutzerdefinierten Dateityp zu definieren und ihn während des Speicherscannens mit UFS Explorer zu verwenden:

  1. Laden Sie CI Hex Viewer. herunter, installieren und starten Sie die Anwendung. Dieses Programm bietet eine bequeme Möglichkeit zur Analyse des hexadezimalen Inhalts von Dateien auf Vorhandensein von Dateisignaturen.

    CI Hex Viewer

    • Öffnen Sie mehrere Beispieldateien des erforderlichen Formats in CI Hex Viewer. Verwenden Sie dazu das Unterelement "Datei" im Menü "Öffnen" und wählen Sie die Option "Einfache Datei, wie sie ist". Als anschauliches Beispiel verwenden wir fünf einfache JPEG-Bilder.

      CI Hex Viewer

    • Durchsuchen Sie die Binärdaten jeder geöffneten Datei, um identische Muster zu finden, insbesondere ganz am Anfang und am Ende. Manchmal ist es einfacher, mithilfe des Textdarstellungsfelds zu navigieren. Für genauere Ergebnisse müssen Sie so viele Dateien wie möglich untersuchen. In unseren Beispielen können wir sehen, dass jede der Dateien mit der Signatur FF D8 FF (˙Ř˙) beginnt und mit FF D9 (˙Ů) endet.

      Beachten Sie: In einigen Fällen kann es schwierig sein, den Unterschied zwischen den tatsächlichen Dateisignaturen und einfach ähnlichen Datenmustern, die Dienstinformationen enthalten, zu erkennen. Versuchen Sie nach Möglichkeit, Beispieldateien, die nicht eng miteinander verbunden sind, aufzunehmen, z. B. Videos, die von verschiedenen Kameras aufgenommen wurden.

      CI Hex Viewer

      CI Hex Viewer

    • Wählen Sie die gefundenen Signaturen aus und kopieren Sie sie mit dem Tool "Rohdaten kopieren" in die Zwischenablage. Beachten Sie auch die Position der ersten Signatur im Feld „Start des markierten Bereichs“. In unserem Fall ist es 0x0.

      CI Hex Viewer

  2. 2. Nachdem Sie die erforderliche Dateisignatur erhalten haben, können Sie eine Datei mit Regeln für Ihren benutzerdefinierten Dateityp, die vom UFS Explorer verwendet werden, erstellen. Dazu müssen Sie IntelliRAW rules editor herunterladen.

    CI Hex Viewer

    • Führen Sie die Software aus, erstellen Sie eine neue Datei, indem Sie die Schaltfläche "Neue Datei" drücken und auf "Neuer Typ" klicken. Geben Sie auf der geöffneten Registerkarte den Namen des Dateityps und die Dateierweiterung an. In unserem Fall sind dies JPEG-Bilder und jpg.

      CI Hex Viewer

    • Definieren Sie die erhaltene Signatur für den Dateistart. Klicken Sie dazu auf die Schaltfläche „Start“ und fügen Sie die Signatur in das Feld „Suchen nach“ ein. Wenn sich die Position der Signatur von 0x0 unterscheidet, geben Sie sie im Feld "Position" ein und klicken Sie auf "OK".

      CI Hex Viewer

    • Wenn Ihr Dateityp eine Signatur für das Ende der Datei hat, geben Sie auch eine Regel dafür an. Klicken Sie dazu auf "Abschluss" und wählen Sie im geöffneten Menü "Übereinstimmende Signatur". Fügen Sie die Endsignatur in das Feld "Suchen nach" ein und klicken Sie auf "OK".

      CI Hex Viewer

    • Geben Sie, falls verfügbar, zusätzliche Parameter für die Dateisuche an oder fahren Sie mit den Standardparametern fort.

    • Ändern Sie den Status "Regeltreffer" in "aktiv" und speichern Sie die erstellte Regel in einer Datei über die Schaltfläche "Datei speichern".

      CI Hex Viewer

  3. In UFS Explorer beim Definieren der Parameter für das Scannen wählen Sie "Ich bin an Ergebnis der Wiederherstellung nach bekannten Inhalten interessiert" aus und aktivieren Sie "Ich will meine eigenen Regeln zur Datensuche gebrauchen". Drücken Sie auf "Regeln laden", navigieren Sie zu der von Ihnen erstellten Datei "* .urrs" und klicken Sie auf "OK".

    CI Hex Viewer

    Nachdem Sie den Vorgang abgeschlossen haben, verwendet UFS Explorer Ihre Regel und stellt die mit ihrer Hilfe gefundenen Dateien im Ordner 1Custom bereit. Den Dateien werden automatisch neue Namen zugewiesen, da diese Informationen bei der “rohen Wiederherstellung“ nicht verfügbar sind. Sie sollten sich auch darüber im Klaren sein, dass diese Methode Schwachstellen aufweist und bei umfangreicher Dateifragmentierung schlechte Ergebnisse liefert. Wenn für das Ende der Datei keine eindeutige Signatur vorhanden ist, scheinen viele von ihnen beschädigt zu sein.

Letzte Aktualisierung: 07. October 2020

Bewertung: 4.5 - 2 Stimmen
Teilen: